A CrowdStrike Counter Adversary Operations tem investigado uma série de ataques cibernéticos e operações de comprometimento estratégico da web (SWC) visando organizações nos setores de transporte, logística e tecnologia que ocorreram em outubro de 2023. Com base em um exame detalhado das ferramentas maliciosas usadas nesses ataques, junto com relatórios adicionais e relatórios do setor, a CrowdStrike Intelligence atribui essa atividade ao adversário IMPERIAL KITTEN.
Sintonize o episódio de hoje do podcast Adversary Universe, “A ascensão do Irã de ator de ameaça nascente a adversário global” e aprenda sobre a história das atividades de ameaças cibernéticas ligadas ao Irã.
A coleção CrowdStrike Intelligence identificou que as cadeias de intrusão IMPERIAL KITTEN contemporâneas aproveitam as seguintes táticas, técnicas e procedimentos:
- Uso de ferramentas públicas de varredura, explorações de um dia, injeção de SQL e credenciais VPN roubadas para acesso inicial
- Uso de ferramentas de digitalização, PAExec e roubo de credenciais para movimentação lateral
- Exfiltração de dados aproveitando malware personalizado e de código aberto para atingir entidades do Oriente Médio
A CrowdStrike Intelligence analisou diversas amostras de malware associadas à atividade do IMPERIAL KITTEN, incluindo:
- IMAPLoader, que usa email para comando e controle (C2)
- Um exemplo semelhante chamado StandardKeyboard
- Uma amostra de malware que usa Discord for C2
- Um shell reverso genérico do Python entregue por meio de uma planilha Excel habilitada para macro
Esta ferramenta de próximo estágio indica que o IMPERIAL KITTEN continua a usar mecanismos C2 baseados em e-mail, semelhantes aos usados em sua família de malware Liderc.
Por Dentro da Atividade do IMPERIAL KITTEN
IMPERIAL KITTEN é um adversário do nexo com o Irã, com suspeita de conexão com o Corpo da Guarda Revolucionária Islâmica (IRGC). O adversário, ativo desde pelo menos 2017, provavelmente cumpre os requisitos de inteligência estratégica iraniana associados às operações do IRGC. A sua atividade caracteriza-se pela utilização de engenharia social, nomeadamente conteúdos temáticos de recrutamento de empregos, para fornecer implantes personalizados baseados em .NET. Historicamente, a IMPERIAL KITTEN tem como alvo indústrias como defesa, tecnologia, telecomunicações, marítima, energia e consultoria e serviços profissionais.
Entre o início de 2022 e 2023, a CrowdStrike Intelligence observou a IMPERIAL KITTEN conduzir operações SWC com foco em atingir organizações nos setores de transporte, logística e tecnologia. Num SWC, o adversário tenta comprometer as vítimas com base nos seus interesses comuns, atraindo-as para um website controlado pelo adversário.
Até o momento, os seguintes domínios controlados por adversários serviram como locais de redirecionamento de sites comprometidos (principalmente israelenses), bem como locais para onde as informações coletadas para criar perfis de sistemas de visitantes são enviadas:
cdn.jguery[.]org
cdn-analytics[.]co
jquery-cdn.online
jquery-stack.online
cdnpakage[.]com
fastanalizer[.]live
fastanalytics[.]live
hotjar[.]info
jquery-code-download[.]online
analytics-service[.]cloud
analytics-service[.]online
prostatistics[.]live
Os domínios SWC do início de 2022 usaram o serviço analítico Matomo 1 para traçar o perfil dos usuários que visitaram os sites israelenses comprometidos. Iterações posteriores de domínios SWC usam um script personalizado para criar o perfil do visitante, coletando informações do navegador e endereço IP, que são então enviados para um domínio codificado. A atividade relatada anteriormente tinha como alvo organizações nos setores marítimo, de transporte e de tecnologia de Israel.
Os relatórios de coleta da indústria e da CrowdStrike Intelligence descreveram uma família de malware rastreada como IMAPLoader, que é a carga final das operações SWC. Uma análise das campanhas do IMPERIAL KITTEN, incluindo o uso do IMAPLoader e de famílias adicionais de malware, está abaixo.
Acesso Inicial
Os relatórios da indústria indicam que, em alguns casos, o adversário fornece malware diretamente às vítimas do SWC. 2 Consistente com relatórios anteriores da CrowdStrike sobre ladrões de credenciais de 2021, há algumas evidências de que o IMPERIAL KITTEN tem como alvo organizações, como provedores de serviços de TI upstream, a fim de identificar e obter acesso a alvos que são de interesse primário para exfiltração de dados.
Há também evidências indicando que seus vetores de acesso iniciais consistem em:
- Uso de explorações públicas de um dia
- Uso de credenciais roubadas para acessar dispositivos VPN
- injeção SQL
- Uso de ferramentas de verificação disponíveis publicamente, como nmap
- Uso de phishing para entregar documentos maliciosos
Todas as avaliações sobre métodos de acesso inicial não documentados anteriormente em conexão com a atividade da IMPERIAL KITTEN apresentam baixa confiança com base em relatórios não corroborados de fonte única.
Phishing
As operações de phishing do IMPERIAL KITTEN supostamente incluem o uso de documentos maliciosos do Microsoft Excel. Embora a amostra mencionada no relatório do setor de outubro de 2023 não esteja disponível publicamente, a CrowdStrike Intelligence adquiriu uma versão semelhante do documento de entrega.
A isca é uma planilha Excel habilitada para macro, provavelmente criada no final de 2023 (hash SHA256:). b588058e831d3a8a6c5983b30fc8d8aa5a711b5dfe9a7e816fe0307567073aed
Depois que a vítima abre o arquivo e habilita as macros, o documento extrai os arquivos , , e , e uma cópia do interpretador Python 3.11 para o diretório do sistema. Os arquivos em lote criam persistência por meio da chave Run do registro chamada e executam o hash SHA256 da carga útil principal do Python: em intervalos de 20 segundos.runable.bat
tool.bat
cln.tmp
%temp%
StandardPS2Key
cc7120942edde86e480a961fceff66783e71958684ad1307ffbe0e97070fd4fd
A carga útil do Python é um shell reverso simples que se conecta a um endereço IP codificado na porta TCP 6443. O shell envia um GUID de desafio predefinido ( ) e espera que o C2 responda com um GUID ( ) separado para autenticação. O malware então lê comandos em loop, executa-os e retorna o resultado. A versão analisada suporta os seguintes comandos:3d7105f6-7ca1-4557-b48e-6b4c70ee55a6
fdee81e1-b00f-4a73-ae48-4a0ee5dee49a
cd
(alterar diretório de trabalho)run
(iniciar subprocesso com comando)set timer to
(alterar intervalo do farol)
A amostra analisada foi configurada como servidor C2. Isso não é válido e resultará em erro — provavelmente é o resultado de uma compilação de teste ou modificação de terceiros.x.x.x.x
Movimento Lateral
Há informações que sugerem que o IMPERIAL KITTEN alcança movimento lateral através do uso de PAExec (a alternativa PsExec de código aberto) e NetScan, e usa ProcDump para despejar a memória do processo LSASS para coleta de credenciais. Por último, o IMPERIAL KITTEN provavelmente implanta malware personalizado ou ferramentas de código aberto, como o MeshAgent, 3 para exfiltração de dados. Estas avaliações são feitas com pouca confiança, uma vez que se baseiam em relatórios de fontes únicas e não corroboradas.
Ferramentas do Adversário
As operações da IMPERIAL KITTEN supostamente utilizam múltiplas ferramentas, incluindo implantes personalizados; IMAPLoader e StandardKeyboard, que usam email para C2; e uma ferramenta de acesso remoto (RAT), que usa Discord para C2.
IMAPLoader é uma família de malware distribuída como uma biblioteca de vínculo dinâmico (DLL) para ser carregada por meio de injeção de AppDomainManager. 4 Ele usa email para C2 e é configurado por meio de endereços de email estáticos incorporados no malware. Erros tipográficos em nomes de pastas incorporadas e mensagens de log indicam que o autor provavelmente não é um falante nativo de inglês. Embora os carimbos de data e hora não estejam disponíveis na maioria das amostras, a versão mais antiga foi observada pela primeira vez na natureza em 1º de setembro de 2022.
A Tabela 1 fornece uma visão geral das amostras disponíveis e dos endereços de e-mail C2 configurados. Todos eles compartilham a mesma funcionalidade, embora a última amostra (hash SHA256: ) difere na nomenclatura das pastas IMAP e possui apenas um endereço C2 configurado, indicando que possivelmente é uma versão em desenvolvimento.32c40964f75c3e7b81596d421b5cefd0ac328e01370d0721d7bfac86a2e98827
O malware se disfarça e persiste durante uma tarefa agendada com esse nome. Ele se conecta por TLS e usa a biblioteca .NET IMAP integrada para criar duas pastas para C2, prefixadas com um UUID gerado aleatoriamente (incluindo um erro tipográfico):StreamingUX Updater
imap.yandex[.]com
<UUID>-Recive
<UUID>-Send
IMAPLoader usa anexos em mensagens de e-mail para receber tarefas e enviar respostas. Ele codifica as datas de criação e modificação do anexo para 05/12/2018 e 05/04/2019, respectivamente.
Hash SHA256 | E-mail C2 |
989373f2d295ba1b8750fee7cdc54820aa0cb42321cec269271f0020fa5ea006 |
leviblum@yandex[.]com
|
fa54988c11aa1109ff64a2ab7a7e0eeec8e4635e96f6c30950f4fbdcd2bba336 |
justin.w0od@yandex[.]com
|
5c945a2be61f1f86da618a6225bc9d84f05f2c836b8432415ff5cc13534cfe2e |
giorgosgreen@yandex[.]com
|
87ccd1c15adc9ba952a07cd89295e0411b72cd4653b168f9b3f26c7a88d19b91 |
harri5on.patricia@yandex[.]com
|
32c40964f75c3e7b81596d421b5cefd0ac328e01370d0721d7bfac86a2e98827 |
hardi.lorel@yandex[.]com |
Tabela 1. Amostras IMAPLoader e endereços de e-mail C2
Os relatórios da indústria também observaram que o IMPERIAL KITTEN implanta uma família de malware chamada, 5 que compartilha semelhanças com a família de malware IMAPLoader. O StandardKeyboard também usa e-mail para comunicação C2, e o código malicioso usa a mesma biblioteca .NET de código aberto para comunicação com servidores IMAP. 6 Ao contrário do IMAPLoader, esse malware persiste na máquina infectada como um serviço do Windows chamado, criado pelo executável .NET malicioso WindowsServiceLive.exe (hash SHA256). O objetivo principal do StandardKeyboard é executar comandos codificados em Base64 recebidos no corpo do email. Os resultados serão enviados para os seguintes endereços de e-mail:StandardKeyboard
Keyboard Service
d3677394cb45b0eb7a7f563d2032088a8a10e12048ad74bae5fd9482f0aead01
itdep[@]update-platform-check[.]online
office[@]update-platform-check[.]online
O assunto do e-mail contém o endereço MAC da máquina infectada precedido por “De:”. O corpo do e-mail contém informações codificadas em Base64 listadas na Figura 1, seguidas pela string .Sender: <MAC Address>
***Order: <command>
***Time: <unused integer value>
***Response: <command output>
***Exit: <command exit code>
***At: <attachment>
Figura 1. Dados enviados ao C2 após execução do comando
Antes de iniciar a comunicação por e-mail com o C2, o StandardKeyboard verifica a disponibilidade de conexão com a internet entrando em contato com o DNS do Google usando ICMP e enviando a string .hi there
Por fim, a coleção CrowdStrike Intelligence identificou outra família de malware relacionada, se passando por um criador de currículo que usa uma empresa do setor de logística como isca (hash SHA256: ). O malware é fortemente ofuscado e descarta uma carga incorporada após vários estágios de descriptografia e desofuscação. Estabelece persistência através de uma tarefa agendada chamada . 1605b2aa6a911debf26b58fd3fa467766e215751377d4f746189566067dd5929
Windows\System\System
O estágio final (hash SHA256:) usa Discord para C2 e provavelmente está relacionado a uma campanha de phishing observada em março de 2022. Ele contém um prefixo raro em seu campo de caminho PDB do cabeçalho PE, que, além deste exemplo, é apenas presente em amostras de IMAPLoader em acervos CrowdStrike. 3bba5e32f142ed1c2f9d763765e9395db5e42afe8d0a4a372f1f429118b71446
Avaliação
A CrowdStrike Intelligence atribui a atividade acima, incluindo o uso de SWC e IMAPLoader e famílias de malware relacionadas, ao adversário IMPERIAL KITTEN. Esta avaliação, feita com confiança moderada, baseia-se em:
- O uso contínuo da infraestrutura SWC relatada anteriormente
- O uso contínuo de endereços de e-mail C2 e Yandex baseados em e-mail para C2
- Sobreposições entre o IMAPLoader e a família de malware SUGARDUMP relatada pela indústria que teve como alvo organizações do setor de transportes sediadas em Israel em 2022 7
- Foco contínuo em atingir organizações israelenses nos setores de transporte, marítimo e tecnológico, o que é consistente com o escopo do alvo do adversário
- Uso de isca com tema de trabalho e conteúdo de isca usado em suas operações de malware
A CrowdStrike Intelligence atribui os métodos de acesso inicial e pós-exploração descritos ao IMPERIAL KITTEN com baixa confiança. Esta avaliação tem pouca confiança, uma vez que se baseia em relatórios de uma única fonte que não foram corroborados.
MITRE ATT&CK
Tática | Técnica | Observável |
Reconhecimento | T1590.005 – Coletar informações da rede da vítima: endereços IP | IMAPLoader sinaliza o endereço IP público das vítimas obtido por meio de um serviço da web |
Desenvolvimento de Recursos | T1584.006 – Infraestrutura comprometida: serviços da Web | IMPERIAL KITTEN SWC é baseado principalmente em sites comprometidos |
Acesso Inicial | T1189 – Compromisso de passagem | IMPERIAL KITTEN distribui malware através do SWC |
Execução | T1059.003 – Interpretador de comandos e scripts: Shell de comando do Windows | IMAPLoader coleta informações do sistema por meio de scripts cmd.exe |
T1059.005 – Interpretador de comandos e scripts: Visual Basic | IMPERIAL KITTEN instala shell backconnect Python por meio de scripts visuais básicos maliciosos em documentos Excel | |
T1059.006 – Interpretador de comandos e scripts: Python | Documentos maliciosos do Excel eliminam o shell backconnect baseado em Python | |
Persistência | T1037.005 – Scripts de inicialização ou logon: itens de inicialização | IMAPLoader persiste através da chave Run do registro |
Evasão de Defesa | T1055 – Injeção de Processo | IMAPLoader é executado via injeção de AppDomainManager |
T1140 – Desofuscar/Decodificar Arquivos ou Informações | IMAPLoader e SUGARRUSH ofuscam endereços C2 por meio de matrizes inteiras | |
Descoberta | T1518.001 – Descoberta de software: descoberta de software de segurança | IMAPLoader enumera software antivírus instalado |
Coleção | T1005 – Dados do Sistema Local | IMAPLoader sinaliza configuração do sistema local e nome de usuário para C2 |
Comando e controle | T1071.003 – Protocolo da Camada de Aplicação: Protocolos de Correio | IMAPLoader , StandardKeyboard e SUGARRUSH utilizam email para C2 |
T1095 – Protocolo de camada sem aplicação | O shell backconnect baseado em Python depende de soquetes brutos para comunicação | |
Exfiltração | T1041 – Exfiltração pelo Canal C2 | Todos os malwares neste relatório exfiltram dados diretamente pelo protocolo C2 |
Tabela 2. Mapeamento para a estrutura MITRE ATT&CK®
Apêndice: Infraestrutura IMPERIAL KITTEN
A infraestrutura VPS de servidor virtual privado recentemente associada às ferramentas IMPERIAL KITTEN está incluída na Tabela 3. A CrowdStrike Intelligence atualmente atribui esta infraestrutura ao IMPERIAL KITTEN com baixa confiança com base nos relatórios mencionados acima.
Domínio | Endereço de IP | Provedor de internet |
N / D | 146[.]185.219.220 |
G-Core Labs SA |
N / D | 193[.]182.144.12 |
Interhost Soluções de Comunicação Ltda. |
N / D | 194[.]62.42.98 |
Stark Indústrias Soluções Ltda. |
N / D | 64[.]176.165.70 |
AS-CHOOPA |
N / D | 95[.]164.61.253 |
Stark Indústrias Soluções Ltda. |
N / D | 95[.]164.61.254 |
Stark Indústrias Soluções Ltda. |
N / D | 45[.]32.181.118 |
AS-CHOOPA |
N / D | 193[.]182.144.120 |
Interhost Soluções de Comunicação Ltda. |
N / D | 64[.]176.164.117 |
AS-CHOOPA |
N / D | 45[.]155.37.140 |
CHOQUE-1 |
N / D | 192[.]71.27.150 |
Interhost Soluções de Comunicação Ltda. |
N / D | 185[.]212.149.35 |
Oy Crea Nova Hosting Solution Ltd. |
N / D | 51[.]81.165.110 |
OVH SAS |
N / D | 82[.]166.160.20 |
Comunicação de Linha Fixa Cellcom LP |
N / D | 192[.]52.166.71 |
ASN-QUADRANET-GLOBAL |
N / D | 162[.]252.175.48 |
M247 Europa SRL |
N / D | 45[.]93.82.109 |
LLC Baxet |
N / D | 77[.]91.74.230 |
Stark Indústrias Soluções Ltda. |
N / D | 77[.]91.74.21 |
Stark Indústrias Soluções Ltda. |
N / D | 195[.]20.17.14 |
NUVEM LOCAÇÃO LTDA. |
N / D | 185[.]253.72.206 |
OMC Computadores e Comunicações Ltd. |
N / D | 185[.]220.206.251 |
OMC Computadores e Comunicações Ltd. |
N / D | 185[.]241.4.7 |
OMC Computadores e Comunicações Ltd. |
N / D | 195[.]20.17.198 |
NUVEM LOCAÇÃO LTDA. |
N / D | 45[.]93.93.198 |
OMC Computadores e Comunicações Ltd. |
N / D | 83[.]229.81.175 |
OMC Computadores e Comunicações Ltd. |
N / D | 146[.]185.219.97 |
G-Core Labs SA |
N / D | 193[.]182.144.175 |
Interhost Soluções de Comunicação Ltda. |
N / D | 103[.]105.49.108 |
VM Haus Limitada |
N / D | 185[.]105.0.84 |
G-Core Labs SA |
N / D | 45[.]81.226.38 |
Zomro BV |
N / D | 149[.]248.54.40 |
AS-CHOOPA |
N / D | 194[.]62.42.243 |
Stark Indústrias Soluções Ltda. |
N / D | 94[.]131.114.32 |
Stark Indústrias Soluções Ltda. |
N / D | 45[.]8.146.37 |
Stark Indústrias Soluções Ltda. |
N / D | 45[.]155.37.105 |
CHOQUE-1 |
N / D | 163[.]182.144.239 |
NATURAL SEM FIO |
N / D | 64[.]176.172.26 |
AS-CHOOPA |
N / D | 77[.]91.94.151 |
Cloudider Limited |
N / D | 95[.]164.18.234 |
Stark Indústrias Soluções Ltda. |
N / D | 74[.]119.192.252 |
Stark Indústrias Soluções Ltda. |
N / D | 82[.]166.160.26 |
Comunicação de Linha Fixa Cellcom LP |
N / D | 64[.]176.165.229 |
AS-CHOOPA |
N / D | 193[.]182.144.52 |
Interhost Soluções de Comunicação Ltda. |
N / D | 64[.]176.171.141 |
AS-CHOOPA |
blackcrocodile[.]online |
217.195.153[.]114 |
Hospedagem de choque |
updatenewnet[.]com |
Anterior: 45.155.37.105 |
Edis Gmbh |
link.mymana[.]ir |
193.182.144[.]52 |
Edis Gmbh |
N / D | 193.182.144[.]239 |
Edis Gmbh |
N / D | 64.176.165[.]229 |
Choopa |
N / D | 64.176.171[.]141 |
Choopa |
N / D | 64.176.165[.]70 |
Choopa |
N / D | 95.164.61[.]253 |
Stark Indústrias Soluções Ltda. |
N / D | 95.164.61[.]254 |
Stark Indústrias Soluções Ltda. |
Tabela 3. Infraestrutura IMPERIAL KITTEN
Notas de Rodapé
- https://github.com/matomo-org/matomo
- https[:]//www.pwc[.]com/gx/en/issues/cybersecurity/cyber-threat-intelligence/yellow-liderc-ships-its-scripts-delivers-imaploader-malware.html
- https[:]//github[.]com/Ylianst/MeshAgent
- https[:]//pentestlaboratories[.]com/2020/05/26/appdomainmanager-injection-and-detection/
- https[:]//www.pwc[.]com/gx/en/issues/cybersecurity/cyber-threat-intelligence/yellow-liderc-ships-its-scripts-delivers-imaploader-malware.html
- https[:]//github[.]com/smiley22/S22.Imap
- https://www.mandiant[.]com/resources/blog/suspected-iranian-actor-targeting-israeli-shipping
Recursos Adicionais
- Saiba mais sobre IMPERIAL KITTEN e os adversários que atacam seu negócio no CrowdStrike Adversary Universe.
- Você sabia? CrowdStrike publica milhares de relatórios de inteligência semelhantes a este todos os anos. Saiba mais sobre nossas assinaturas de inteligência contra ameaças e caça.
- Leia mais sobre adversários e suas táticas, técnicas e procedimentos no Relatório de Ameaças Globais CrowdStrike 2023 e no Relatório de Caça a Ameaças CrowdStrike 2023.
- Assista a esta demonstração para ver o CrowdStrike Falcon® Intelligence em ação.
- Experimente como a plataforma CrowdStrike Falcon® líder do setor protege contra ameaças modernas. Comece seu teste gratuito de 15 dias hoje.
Fonte: CrowdStrike
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.